Skip to main content
  • KONTAKTIEREN SIE UNS

    Wir sind gerne persönlich für Sie da

    +49 (0) 81 51 / 27 19 0

    Mo. - Do. 8:30 - 17:00 Uhr
    Fr. 8:30 - 15:30 Uhr

    Elisabeth Di Muro
    Elisabeth Di Muro, Kundenservice
  • Newsletter

    Newsletter-Anmeldung

Spannende Themen und aktuelles für Sie aufbereitet

„Probleme mit der IT-Compliance werden verschwiegen"

Viele Unternehmen haben ein Problem bei der Einhaltung der gesetzlichen Vorschriften zur IT-Compliance – und werden zum Ziel von Hackerangriffen und Datenklau oder durch fehlerhafte eigene Software geschädigt. Prof. Dr. Ralf Imhof erklärt die Fallstricke der IT-Compliance und warum die Compliance so nachlässig gehandhabt wird.
Ralf Imhof ist Mitautor des Standardwerks „Beck’sches Formularbuch IT-Recht“ sowie des Werkes „Handbuch Urheberrecht“ und Leiter des Seminars IT-Compliance up to date.

MFS: Die rechtlichen Anforderungen an die IT-Compliance sind eindeutig. Wenn Hackerangriffe oder unternehmensinterne Verfehlungen publik werden wird aber meist offensichtlich, dass die Vorgaben nicht eingehalten wurden. Was läuft falsch in deutschen Unternehmen?

Prof. Dr. Ralf Imhof: Es stimmt. Viele Unternehmen haben ein Compliance-Problem, verletzen also die Pflicht, sich an gesetzliche Vorgaben zu halten. Das liegt oft am fehlenden Bewusstsein für die Sinnhaftigkeit von IT-Compliance-Maßnahmen. Die Folgen eines Hackerangriffs lassen sich schwer vorstellen, wenn man sie noch nicht erlebt hat. Zudem kostet die Einhaltung der Compliance-Regeln Geld und die Geschäftsführung scheut das Investment. Noch ein wichtiger Aspekt: Die Geschäftsführung ist zwar verantwortlich, überträgt die Einhaltung der Regeln aber oft auf einen Mitarbeiter. Und der hat Mühe, seine Anliegen gegenüber der Geschäftsführung durchzusetzen, da ja einerseits das Bewusstsein für die Notwendigkeit oft fehlt und andererseits die Nichteinhaltung meist erst dann Konsequenzen hat, wenn etwas passiert.

MFS: Die neue Datenschutzgrundverordnung greift ab Mai 2018 und regelt die Pflichtenverteilung zwischen Management und Datenschutzbeauftragten neu. Was bedeutet das für das Management?

Prof. Dr. Ralf Imhof: Die Verantwortlichkeit des Managements wird deutlich gesteigert. Sehr häufig wird übersehen, dass nicht der Datenschutzbeauftragte, sondern die Geschäftsleitung für die Beachtung des Datenschutzes verantwortlich ist. Unternehmen tun gut daran, sich diesem Thema zu stellen – aus Eigeninteresse. Denn die Megatrends Industrialisierung 4.0, Big Data, Internet of Things, Cloud-Computing und neuronale Netze werden die Bedeutung der IT und damit regelmäßig auch des Datenschutzes für den Geschäftsbetrieb noch steigen lassen. Die IT-Compliance wird nicht nur zum unvermeidbaren Thema sondern auch zum Schüsselfaktor für den Bestand des Unternehmens.

MFS: Was leisten IT-Compliance-Regeln?

Prof. Dr. Ralf Imhof: Sie helfen, den Geschäftsbetrieb bei IT-Notfällen sicherzustellen. Sie beinhalten unter anderem die Simulation von IT-Notfällen und sehen das Erstellen eines Business Continuity Planning vor. Letzteres regelt, wie der Betrieb im IT-Notfall aufrechterhalten oder zumindest Nachteile abgemildert werden können. Solche Pläne fehlen in der Praxis regelmäßig.

MFS: Braucht also jedes Unternehmen künftig einen IT-Compliance-Verantwortlichen?

Prof. Dr. Ralf Imhof: Das wäre wünschenswert. Die IT hat heute einen enormen Stellenwert in Unternehmen. Gleichzeitig gibt es so viele Regeln, dass der Aufwand für ihre Einhaltung hoch ist und nicht mehr nebenbei erledigt werden kann.

MFS: Große Unternehmen wie VW haben so einen Verantwortlichen und versagen trotzdem. Die Schummelsoftware bei der Abgaswert-Messung ist angeblich niemandem aufgefallen.

Prof. Dr. Ralf Imhof: Ja, bei VW hat das Compliance System offenbar versagt. Genauso wie beim Hamburger Unternehmen Beiersdorf. Es war Ziel von Hackern und die IT-Lücke war der bekannt. Es wurde allerdings nach Presseberichten versäumt, die Lücke zu schließen. Auch die Deutsche Bahn wurde bereits Ziel von Angriffen. Wie solche Nachlässigkeiten ausgehen können zeigt das Beispiel Siemens. Bei Siemens gab es schwarze Kassen für Bestechungsgelder. Die Vorstände wurden insgesamt, ungeachtet ihrer Zuständigkeit in die Haftung genommen. Das Argument des Finanzvorstands, es gebe ein Compliance System bei Siemens, half nicht. Das Gericht urteilte, dass dieses offensichtlich wohl nicht ausreichend war, wenn es zu Verstößen komme.

Es gibt aber natürlich auch weniger spektakuläre Fälle, die dann mal vor Gericht landen. Da hatte zum Beispiel ein Unternehmen die erforderliche Microsoft-Lizenz für Software nicht. Ein ehemaliger Mitarbeiter hatte das Microsoft angezeigt. Das Unternehmen und der Geschäftsführer wurden zu 10.000 Euro Schadensersatz verurteilt.

MFS: Welche typischen Fehler werden gemacht?

Prof. Dr. Ralf Imhof: Der aktuell größte Fehler ist, sich beim Datenschutz nicht auf den 25. Mai vorzubereiten, wenn die Datenschutzgrundverordnung in Kraft tritt. Auch der Knowhow-Schutz, der Schutz vor Hacking und die Sicherstellung des Betriebes inklusive Notfallmaßnahmen, um die Folgen eines Angriffs abzumildern, werden oft vernachlässigt.

MFS: Wie gehen Sie das Thema im Seminar an?

Prof. Dr. Ralf Imhof: Wir klären, welche Maßnahmen und Tätigkeitsfelder mit welcher Systematik bearbeitet werden müssen. Wer kein Jurist ist, kann sich das allein nicht erschließen. Die Unternehmen arbeiten ja meist global, müssen also Deutsches Recht, EU-Recht und Internationales Recht in diesem Bereich kennen. Gleichzeitig ist jedes Unternehmen anders aufgebaut und strukturiert. Die Umsetzung muss deshalb individuell erfolgen.

Seminartermin:

IT-Compliance up to date
12./13. Juni 2018 in München
www.management-forum.de/itc

Kommentar schreiben

0 Kommentare

KONTAKTIEREN SIE UNS

Wir sind gerne persönlich für Sie da

+49 (0) 81 51 / 27 19 0

Mo. - Do. 8:30 - 17:00 Uhr
Fr. 8:30 - 15:30 Uhr

Elisabeth Di Muro
Elisabeth Di Muro, Kundenservice